LAMPIRAN 2 ADENDUM PEMROSESAN DATA KINOBI AI ("DPA")

Versi DPA: 02 Januari 2026

Adendum Pemrosesan Data (“DPA“) ini merupakan bagian dari Perjanjian Induk Berlangganan dan Layanan (“Perjanjian“) antara PT Kinobi Technologies Indonesia (“Kinobi AI”) dan Pelanggan. DPA ini berlaku sejauh Kinobi AI memproses Informasi Pribadi atas nama Pelanggan sehubungan dengan Layanan.

Apabila terjadi pertentangan antara DPA ini dan Perjanjian, maka DPA ini yang akan berlaku semata-mata terkait pemrosesan Informasi Pribadi.

Daftar Isi

1. Definisi
2. Peran Para Pihak
3. Ruang Lingkup dan Tujuan Pemrosesan
4. Kewajiban Pelanggan
5. Kewajiban Kinobi AI
6. Keamanan Informasi
7. Sub-Pemroses
8. Transfer Lintas Batas
9. Hak Subjek Data
10. Insiden Keamanan
11. Hak Audit dan Informasi
12. Retensi dan Penghapusan Data
13. Kontak Privasi
14. Batasan Tanggung Jawab
15. Hukum yang Mengatur
16. Urutan Keberlakuan
17. Lampiran A – Deskripsi Pemrosesan

1. DEFINISI

Kecuali didefinisikan lain dalam DPA ini, istilah-istilah yang diawali huruf kapital memiliki arti sebagaimana tercantum dalam Perjanjian. “Informasi Pribadi” berarti informasi apa pun yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi, termasuk informasi yang didefinisikan sebagai “data pribadi” atau “informasi pribadi” berdasarkan hukum perlindungan data yang berlaku, termasuk Undang-Undang Perlindungan Data Pribadi Singapura 2012 (“PDPA”), GDPR (jika berlaku), dan ISO/IEC 27018. “Pemrosesan” berarti operasi atau serangkaian operasi apa pun yang dilakukan terhadap Informasi Pribadi, baik dengan cara otomatis maupun tidak. “Hukum Perlindungan Data” berarti semua hukum dan peraturan yang berlaku terkait privasi atau perlindungan data, termasuk PDPA dan, jika berlaku, GDPR.

2. PERAN PARA PIHAK

Pelanggan adalah pengendali data (data controller) (atau peran setara berdasarkan hukum yang berlaku). Kinobi AI adalah pemroses data (data processor), yang memproses Informasi Pribadi semata-mata atas instruksi terdokumentasi dari Pelanggan dan sesuai dengan DPA ini.

3. RUANG LINGKUP DAN TUJUAN PEMROSESAN

Kinobi AI akan memproses Informasi Pribadi semata-mata untuk tujuan menyediakan, mengoperasikan, memelihara, mengamankan, dan mendukung Layanan, serta tidak untuk tujuan lain kecuali diharuskan oleh hukum yang berlaku. Sifat, kategori, dan volume Informasi Pribadi yang diproses bergantung pada konfigurasi dan penggunaan Layanan oleh Pelanggan.

4. KEWAJIBAN PELANGGAN

Pelanggan menyatakan dan menjamin bahwa:

(a) telah memperoleh semua persetujuan, pemberitahuan, dan dasar hukum yang diperlukan berdasarkan Hukum Perlindungan Data untuk memberikan Informasi Pribadi kepada Kinobi AI;

(b) instruksinya kepada Kinobi AI mematuhi Hukum Perlindungan Data; dan

(c) tidak akan menginstruksikan Kinobi AI untuk memproses Informasi Pribadi dengan cara yang melanggar hukum yang berlaku.

Pelanggan tetap bertanggung jawab penuh untuk menentukan tujuan dan cara pemrosesan.

5. KEWAJIBAN KINOBI AI

Kinobi AI wajib:

(a) memproses Informasi Pribadi hanya sesuai dengan instruksi terdokumentasi dari Pelanggan dan DPA ini;

(b) memastikan bahwa personel yang berwenang memproses Informasi Pribadi tunduk pada kewajiban kerahasiaan;

(c) menerapkan perlindungan administratif, teknis, dan organisasional yang sesuai; dan

(d) tidak mengungkapkan Informasi Pribadi kepada pihak ketiga kecuali sebagaimana diizinkan dalam DPA ini atau diharuskan oleh hukum.

6. KEAMANAN INFORMASI

Kinobi AI akan memelihara program keamanan informasi yang selaras dengan standar industri yang berlaku umum, termasuk prinsip-prinsip ISO/IEC 27001, ISO/IEC 27018, dan SOC 2. Langkah-langkah keamanan dapat mencakup, sebagaimana mestinya, kontrol akses, enkripsi saat transit, pemantauan dan pencatatan (logging), manajemen insiden, dan pelatihan keamanan personel. Kinobi AI tidak menjamin bahwa langkah-langkah keamanannya tidak dapat ditembus (infallible).

7. SUB-PEMROSES

Pelanggan memberikan wewenang kepada Kinobi AI untuk melibatkan afiliasi dan sub-pemroses pihak ketiga guna memproses Informasi Pribadi untuk tujuan penyediaan Layanan. Kinobi AI wajib memastikan bahwa sub-pemroses tersebut tunduk pada kewajiban tertulis yang tidak kurang perlindungannya dibandingkan dengan yang ditetapkan dalam DPA ini. Daftar sub-pemroses material dapat disediakan atas permintaan yang wajar.

8. TRANSFER LINTAS BATAS

Pelanggan mengakui bahwa Informasi Pribadi dapat diproses atau disimpan di luar negara tempat data tersebut dikumpulkan, termasuk di Indonesia dan yurisdiksi lain tempat Kinobi AI atau sub-pemrosesnya beroperasi. Kinobi AI wajib memastikan bahwa transfer tersebut tunduk pada perlindungan yang sesuai sebagaimana diharuskan oleh Hukum Perlindungan Data yang berlaku.

9. HAK SUBJEK DATA

Sejauh diharuskan oleh Hukum Perlindungan Data, Kinobi AI akan memberikan bantuan yang wajar kepada Pelanggan untuk memungkinkan Pelanggan menanggapi permintaan dari individu yang ingin menggunakan hak mereka terkait Informasi Pribadi. Apabila diizinkan oleh hukum, Kinobi AI dapat mengenakan biaya yang wajar untuk bantuan tersebut.

10. INSIDEN KEAMANAN

Kinobi AI wajib memberitahu Pelanggan tanpa penundaan yang tidak perlu setelah mengetahui adanya akses tidak sah atau pengungkapan Informasi Pribadi yang terkonfirmasi. Pemberitahuan tersebut harus mencakup informasi yang tersedia secara wajar mengenai sifat insiden dan tindakan perbaikan yang telah atau akan diambil. Pelanggan tetap bertanggung jawab atas pemberitahuan kepada regulator dan individu kecuali diwajibkan lain oleh hukum yang berlaku.

11. HAK AUDIT DAN INFORMASI

Atas permintaan tertulis yang wajar, Kinobi AI akan menyediakan informasi yang diperlukan secara wajar untuk menunjukkan kepatuhan terhadap DPA ini, termasuk sertifikasi yang relevan, ringkasan laporan audit, atau dokumentasi kepatuhan lainnya. Pelanggan tidak memiliki hak untuk melakukan audit di lokasi (on-site) terhadap sistem Kinobi AI, kecuali jika diharuskan oleh hukum yang berlaku.

12. RETENSI DAN PENGHAPUSAN DATA

Pada saat pengakhiran atau berakhirnya Layanan, Kinobi AI akan menghapus atau mengembalikan Informasi Pribadi sesuai dengan Perjanjian, kecuali penyimpanan data diharuskan oleh hukum atau untuk tujuan cadangan (backup), keamanan, atau kepatuhan yang sah. Data yang dikumpulkan secara agregat atau dianonimkan dapat disimpan.

13. KONTAK PRIVASI

Kinobi AI akan menunjuk pejabat perlindungan data (“DPO“) atau kontak privasi yang bertanggung jawab untuk mengawasi kepatuhan terhadap Hukum Perlindungan Data yang berlaku dan menangani pertanyaan terkait privasi. Pelanggan dapat menghubungi Kinobi AI mengenai Informasi Pribadi atau masalah perlindungan data melalui detail kontak yang tersedia dalam dokumentasi Layanan atau di situs web Kinobi AI.

14. BATASAN TANGGUNG JAWAB

Tanggung jawab masing-masing Pihak yang timbul dari atau berkaitan dengan DPA ini tunduk pada batasan dan pengecualian tanggung jawab yang ditetapkan dalam Perjanjian. Tidak ada dalam DPA ini yang meningkatkan tanggung jawab Kinobi AI melebihi apa yang dinyatakan secara tegas dalam Perjanjian.

15. HUKUM YANG MENGATUR

DPA ini diatur dan ditafsirkan sesuai dengan hukum yang mengatur Perjanjian.

16. URUTAN KEBERLAKUAN

Apabila terjadi pertentangan antar dokumen, urutan keberlakuan berikut ini berlaku semata-mata terkait pemrosesan Informasi Pribadi: 1. DPA ini; 2. Perjanjian; dan 3. Formulir Pemesanan apa pun.

LAMPIRAN A – DESKRIPSI PEMROSESAN

Lampiran A ini disediakan hanya untuk tujuan informasi dan pengadaan, serta tidak berlaku kecuali jika disertakan secara tegas sebagai referensi.

A. Kategori Subjek Data:

Bergantung pada penggunaan Layanan oleh Pelanggan, subjek data dapat mencakup: siswa, mentee, pembelajar; alumni (jika diaktifkan oleh Pelanggan); mentor dan peserta program; karyawan, administrator, dan staf Pelanggan; serta perwakilan pemberi kerja atau mitra eksternal.

B. Kategori Informasi Pribadi:

Bergantung pada konfigurasi Pelanggan, Informasi Pribadi dapat mencakup: nama, nama pengguna, detail kontak; pengenal institusi (misalnya ID siswa atau karyawan); data partisipasi program; catatan magang, aplikasi, atau pendampingan (mentoring); log komunikasi dan aktivitas; serta data autentikasi dan akses. Kinobi AI tidak secara sengaja meminta data pribadi sensitif kecuali dikonfigurasi secara tegas oleh Pelanggan.

C. Tujuan Pemrosesan:

Penyediaan, pengoperasian, dan dukungan Layanan; manajemen autentikasi dan akses pengguna; administrasi dan pelaporan program; serta keamanan sistem, pemantauan, dan kepatuhan.

D. Sifat Pemrosesan:

Pengumpulan, penyimpanan, pengorganisasian; akses, penggunaan, transmisi; dan penghapusan atau anonimisasi atas permintaan atau pengakhiran.

E. Retensi:

Informasi Pribadi disimpan sesuai dengan Perjanjian dan instruksi Pelanggan, tunduk pada hukum yang berlaku dan persyaratan cadangan (backup) atau kepatuhan yang sah.

F. Klasifikasi Sensitivitas Data Indikatif:

Untuk tujuan penilaian risiko dan penerapan perlindungan yang proporsional berdasarkan Hukum Perlindungan Data yang berlaku (termasuk PDPA), Informasi Pribadi yang diproses melalui Layanan umumnya dapat masuk ke dalam kategori indikatif berikut, tergantung pada konfigurasi dan penggunaan Pelanggan:

1. Informasi Pribadi Sensitivitas Rendah: Nama dan nama pengguna; alamat email institusi; dan informasi profil yang tersedia untuk umum.
2. Informasi Pribadi Sensitivitas Sedang: Nomor identifikasi siswa atau pengguna; catatan partisipasi program; data aplikasi pendampingan (mentoring) atau magang; serta log komunikasi dan aktivitas.
3. Informasi Pribadi Sensitivitas Lebih Tinggi: Pengenal yang diterbitkan pemerintah (jika disediakan oleh Pelanggan); dan catatan terkait kinerja individu, penilaian, atau umpan balik.

Kinobi AI tidak secara sengaja memproses data pribadi sensitif (seperti informasi kesehatan, biometrik, atau keuangan) kecuali dikonfigurasi secara tegas oleh Pelanggan. Klasifikasi ini disediakan hanya untuk tujuan informasi dan penilaian risiko, serta tidak mengubah atau memperluas kewajiban Kinobi AI berdasarkan Perjanjian atau DPA ini.